Mastercard nói gì về những vụ tài khoản thẻ "bốc hơi"?

Nguyên nhân khiến hàng loạt vụ "tài khoản thẻ bỗng dưng... bốc hơi" ở Việt Nam thời gian vừa qua trở thành chủ đề nóng tại Hội thảo về thế giới thanh toán thẻ điện tử của Mastercard diễn ra tại TP.HCM ngày 15/9.

Trong thời gian gần đây, hàng loạt vụ "bốc hơi" tiền gửi ngân hàng qua tài khoản thẻ lẫn tài khoản tiết kiệm tại VIP, Vietcombank... Điều đáng chú ý là trong các sự cố này, thông tin trên báo chí cho thấy ngân hàng tỏ ra không mấy thiện chí trong việc xử lý cũng như hỗ trợ người dùng giải quyết sự cố. Không những vậy, nhiều ngân hàng còn gây khó khăn và thậm chí quay lại đổ lỗi cho người dùng, phủ nhận mọi trách nhiệm liên đới của mình.

Tại sao tài khoản thẻ... bốc hơi?

Tại Hội thảo Hội thảo về thế giới thanh toán thẻ điện tử ở TP.HCM hôm qua, trả lời phóng viên VnReview.vn về nguyên nhân khiến tiền trong tài khoản thẻ "bốc hơi" gần đây, chuyên gia Mastercard, ông Peter Gordon chia sẻ: Việc mất tiền trong tài khoản thẻ có nhiều lý do. Trong đó không thể không kể tới sự chủ quan, nhận thức về bảo mật của người dùng còn thấp cũng ít nhiều tiếp tay cho kẻ xấu.

Theo đại diện Mastercard, ngoài việc đánh mất thẻ hay bị hack do click vào các trang web giả mạo, sự thiếu hiểu biết còn tới việc nhiều khách hàng vô tình cung cấp chi tiết thông tin tài khoản thẻ tại các điểm thanh toán, trong khi về nguyên tắc họ chỉ cần quẹt thẻ. Theo quy đinh, phía chấp nhận thanh toán thẻ không được phép (và không cần) lưu lại các thông tin chi tiết của chủ thẻ (như số CVV, số thẻ...) mà chỉ cần lưu 4 số cuối của thẻ trên hóa đơn thanh toán. Điều này giúp giảm thiểu thiệt hại như những vụ rò rỉ thông tin thẻ đã xảy ra.

Ông Peter Gordon, Cựu Trưởng nhóm giải pháp thanh toán thương mại, Khu vực Châu Á - Thái Bình Dương của Mastercard và hiện là sáng lập viên của Công ty cung cấp dịch vụ tư vấn Peter Gordon

Bên cạnh đó, đáng báo động là gần đây các đối tượng người Malaysia đã chế ra những thiết bị có khả năng đọc lén dữ liệu khi quẹt thẻ bằng POS (máy chấp nhận thanh toán thẻ). Thiết bị này được bán trôi nổi trên thị trường đen và có khả năng đọc lại thông tin thô của thẻ khi tiến hành quẹt qua máy POS tại các điểm chấp nhận thanh toán thẻ, kẻ xấu chỉ cần đứng ở gần đó hoặc đặt thiết bị gần máy POS là có thể thu lại các dữ liệu thô trước khi nó được mã hóa theo phương thức tokenization và gửi tới phía nhà cung cấp thẻ để xử lý.

Về nguyên tắc, các điểm chấp nhận thanh toán thẻ không có dữ liệu thô (dữ liệu chi tiết về thẻ) của khách hàng mà mỗi khi quẹt thẻ qua POS hoặc giao dịch qua các cổng thanh toán điện tử thì các dữ liệu này đều được mã hóa theo giao thức tokenization và gửi về nhà cung cấp thẻ để xử lý trước khi gửi yêu cầu thanh toán cho các ngân hàng.

Kế đến phải kể tới các lỗ hổng bảo mật của thẻ từ vốn thường được dùng làm thẻ ATM hay visa debit. Để hạn chế rủi ro về bảo mật, các nhà cung cấp dịch vụ đã dần chuyển qua dùng thẻ chip được mã hóa 128-bit thay vì thẻ từ. Tuy nhiên, giá thành sản xuất thẻ chip đắt đỏ hơn (mất 2 USD/thẻ chip so với 0,5 USD/thẻ từ) nên thẻ chip mới chỉ được ưu tiên dùng cho thẻ tín dụng trả sau (credit card) vốn mang lại nhiều lợi nhuận hơn cho phía ngân hàng. Chưa kể cơ sở hạ tầng các ngân hàng (đầu đọc thẻ, máy rút tiền ATM, hệ thống máy tính,...) cũng buộc phải nâng cấp và chi phí có thể lên tới hàng triệu USD.

Sau khi loại trừ trường hợp lộ thông tin thẻ của người dùng, các trường hợp còn lại thường là do lỗi của phía giao dịch (địa điểm giao dịch hoặc ngân hàng).

Mô hình bốn bên khép kín của giao dịch thẻ.

Quy trình phức tạp của một hệ thống giao dịch thẻ, tất cả diễn ra trong vòng 1-2 giây.

Có thể lấy lại tiền trong tài khoản bốc hơi nếu ngân hàng...

Theo Mastercard, nếu có đủ cơ sở (giao dịch bất hợp pháp, giao dịch không như mong muốn, giao dịch lỗi hay bị mất thẻ) người dùng có quyền đòi lại tiền (refund) và ngân hàng phải có trách nhiệm hỗ trợ xử lý để trả lại tiền (chargeback) cho khách hàng đầy đủ không thiếu một xu. Đó là quyền lợi của khách hàng và cũng là quy định mà phía các nhà cung cấp dịch vụ thẻ như Mastercard đưa ra, đòi hỏi các ngân hàng phải thực hiện.

Ông Peter Gordon cho biết quy trình thanh toán trực tuyến diễn ra rất nhanh, chỉ mất 1-2 giây. Dù khách nhận được biên lai/tin nhắn đã chuyển tiền nhưng thực tế lúc này dòng tiền lưu thông này đang được giữ lại chờ xác minh và thường đổ về tài khoản người nhận dựa theo định kỳ (cuối tuần, cuối tháng…). Trong thời gian đó, nếu khách hàng hoặc ngân hàng báo cáo gian lận ngay sau đó thì bên dịch vụ thanh toán như Mastercard hay VISA sẽ xử lý để giữ số tiền bất hợp pháp đó lại và hoàn trả cho khách hàng. Kể cả trong trường hợp số tiền đã bị cuỗm đi thành công thì khi truy vết thấy bất hợp pháp, phía dịch vụ thẻ vẫn hoàn tiền cho khách hàng đầy đủ.

Ông Peter Gordon khẳng định Mastercard là một tập đoàn công nghệ chuyên cung cấp các giải pháp về thanh toán điện tử, họ không sản xuất cũng như cung cấp thẻ. Thực tế, Mastercard làm việc với các ngân hàng để cung cấp dịch vụ cho người dùng, do vậy họ yêu cầu các ngân hàng (trong đó có Việt Nam) phải gửi các báo cáo định kỳ (bao gồm cả các giao dịch đen hoặc sự cố thanh toán thẻ) cho họ.

Cũng như các nhà cung cấp giải pháp thanh toán khác, các dịch vụ thanh toán sẽ phối hợp với ngân hàng cùng các tổ chức tài chính, các cơ quan an ninh trên thế giới tuân thủ các thỏa thuận khung chặt chẽ; nhằm minh bạch hóa, giảm thiểu rủi ro cho khách hàng và bản thân các bên liên quan. Một trong các cơ chế ràng buộc đó chính là chuẩn bảo mật Payment Card Industry Data Security Standard (PCI DSS), bao gồm cả việc hỗ trợ khách hàng đòi lại tiền khi xảy ra các sự cố thẻ. Theo Mastercard, hiện nay đã có khoảng 80-85% ngân hàng tại Việt Nam áp dụng chuẩn PCI DSS.

Biểu đồ hạn mức thời gian của quá trình trả lại tiền cho khách hàng khi phát hiện giao dịch bất hợp pháp

Tuy nhiên, dù các nhà cung cấp giải pháp thanh toán đã có thỏa thuận và quy định chặt chẽ với các ngân hàng để hỗ trợ người dùng trong các sự cố liên quan tới thẻ, nhưng cũng không loại trừ khả năng "quan liêu" của các ngân hàng trong nước ở các báo cáo định kỳ hoặc thông tin về các sự cố mà khách hàng gặp phải cho phía các nhà cung cấp dịch vụ thẻ. Điều này dẫn tới việc nhiều khách hàng Việt Nam gặp khó khăn trong việc nhận hỗ trợ từ các dịch vụ thanh toán thẻ khi mà công tác hỗ trợ bị "tắc" ngay từ phía ngân hàng trong nước. Thậm chí họ còn đối mặt với việc bị kiện ngược hoặc đổ trách nhiệm liên đới.

Hiện trạng các giao dịch bất hợp pháp tại Việt Nam

Theo báo cáo từ các thống kê độc lập trên toàn cầu, hiện cứ 100 USD giao dịch qua hệ thống thanh toán Mastercard thì có khoảng 0,06 USD thuộc về giao dịch bất hợp pháp (tiền đen). Tại Việt Nam, con số các ngân hàng báo cáo với Mastercard thấp hơn phân nửa so với con số thống kê toàn cầu trên.

Trong bối cảnh vừa rồi tại Việt Nam nhiều tài khoản thẻ bỗng dưng... mất tiền, phóng viên VnReview.vn tỏ ra hoài nghi về con số này và đặt câu hỏi về sự tin cậy của con số mà phía các ngân hàng Việt Nam đưa ra. Tuy nhiên, lý giải sự mâu thuẫn này phía Mastercard cho biết, con số này do phía các ngân hàng Việt Nam đưa ra nên độ tin cậy cũng còn phụ thuộc vào sự minh bạch của chính bản thân các hệ thống ngân hàng trong nước và cả sự chủ động đòi quyền lợi của người tiêu dùng.

Thực trạng trên đòi hỏi các ngân hàng trong nước phải thể hiện rõ trách nhiệm và sự minh bạch của họ hơn, người dùng có quyền được hỗ trợ và tận hưởng dịch vụ như cam kết. Đáng mừng, Ngân hàng nhà nước Việt Nam đã có văn bản ra hạn đến năm 2020 tất cả các thẻ thanh toán lưu thông tại Việt Nam phải chuyển qua thẻ chip để tăng độ an toàn cho giao dịch qua thẻ.

Theo chia sẻ tại hội thảo của Mastercard, do thói quen tiêu dùng tiền mặt nên nhìn chung thị trường thanh toán thẻ Việt Nam còn nhỏ dù tốc độ tăng trưởng 60-65% khá ấn tượng. Ngoài nỗ lực của các ngân hàng thì người dùng nên tự trang bị kiến thức thương mại điện tử và bảo mật thanh toán thẻ để giữ đồng tiền của mình được an toàn.

TM